2009年9月4日号　9.10 Alpha5のリリース・9.10の新機能（『ほぼ』確定版）その1・Ubuntu Developer Week・UWN#157・Full Circle Magazine #28

9.10 Alpha5のリリース

Feature Freeze後の最初のアルファリリース、Alpha 5のためのFreezeが行われ、間もなく（例によって「現地時間」（⁠注1）の木曜日、日本時間の金曜日）にAlpha 5がリリースされる予定です。

9.10の新機能（『ほぼ』確定版）その1

Feature Freezeが行われたこともあり、本当に実装されるかが不明瞭だった9.10の新機能も、一通り確定しています。開発上やむを得ない問題があれば10.04まで延期される可能性もありますが、今回から何回かに分けて、「⁠おそらく実装される」はずの機能を一通り紹介します。

なお、「⁠9.10で搭載される（かもしれない⁠）⁠」とされていた機能のうち、以下のものは実装上の問題や作業人員の不足により、10.04以降のリリースに延期になっています。

シャットダウン時にアップデートを適用する機能。アップデータを適用するプロセスがX内で起動されるため、「⁠シャットダウンプロセスの途中でXがkillされてしまうと、そのままアップデートプロセスまで巻き添えでkillされてしまい、結局アップデータが適用できない」という問題を解決するだけの人的リソースを確保できなかったため、9.10の開発プロセスに含めることができませんでした。
SWAPパーティションではなく、SWAPファイルを用いる実装。Kernelが扱う暗黙のファイルキャッシュの影響で、SWAPをハンドリングできず、通常であれば生じないOut of Memoryが発生してプロセスが殺される問題が生じているため、この問題（LP#386554）が解決されるまで、実装が延期されることになりました。この問題が解決した時点で速やかに実装される予定です。
インストール時に、既存のWindowsから各種データ（アドレス帳・ブラウザのブックマーク・音楽ファイルなどなど）を取り込む、マイグレーションアシスタント。想定していたよりも必要とされていなさそうなので落とした、と書いてあります。

Ubuntu Software Store（AppCenter）

Ubuntuではアプリケーションの追加を行う場合、GUIだけでも「アプリケーションの追加と削除」と「Synapticパッケージ・マネージャ」の二通りの方法がある状態でした（さらにCLI操作を行うコマンドを考慮した場合、apt-getとaptitudeが存在するため、かなりの混乱状態です⁠）⁠。

これらを統一するためにCanonicalで新規に開発されたGUIが『Ubuntu Software Store』（⁠AppCenter）です。Ubuntuでは今後、このGUI「標準的なソフトウェア追加のためのインターフェース」として扱われる予定です。

Phoronixにスクリーンショットがあります。また、Alpha版でも「software-store」パッケージを明示的に指定することで導入し、テストすることが可能です。

起動速度の向上

9.04・9.10・10.04の3つのリリースでは毎回、「⁠起動速度の向上」が課題となっています。今回は10.04に向けて基礎を作るべく、9.04と比べて3秒前後の起動時間の短縮が行われる予定です。最終的に、10.04で「一般的なネットブック」で10秒以内の起動が実現されるはずです。

USB CreatorのWindows版

Ubuntuでは、インストールCD（Desktop CD）で起動してUSB Creatorというソフトウェアを使うことで、「⁠USBスタートアップ・ディスク」を作成することができるようになっています。このソフトウェアはあくまで「Ubuntu環境で」利用するためのものでした。

このため、「⁠Windowsしかない環境ではUSBスタートアップ・ディスクを作成することができない」（⁠なんらかの形でDesktop CDで起動し、それからUSBスタートアップ・ディスクを作成しないといけない⁠）⁠、という問題がありました。

9.10の開発作業の一貫として、USB CreatorのWindows版が準備されたため、以降は（9.10以外のリリースでも）Windows環境からUSBスタートアップ・ディスクを作成することができるようになります。

インプットメソッドの変更

Foundation Teamのカテゴリには含まれていませんが、日本語入力がscim-anthyからibus-anthyに切り替わる予定です（Alphaの最新アップデートではibus-anthyにすでに置き換わっています⁠）⁠。ただし、これも例によって土壇場での切り戻しの可能性はゼロではありません。

Ubuntu Developer Week

Ubuntu Developer Weekが開催されています。KarmicのDeveloper Weekは、8月31日～9月4日までです。

Developer Weekはオンライン（IRC）で行われるイベントですので、日本からも比較的容易に参加可能です（時差を気にしなければ、ですが……⁠）⁠。英語に抵抗がなければ、Ubuntuの一線級のエンジニアに直接質問し、技術的な疑問を解決するチャンスです[2]⁠。

Ubuntu Weekly Newsletter #157

Ubuntu Weekly Newsletter#157がリリースされています。

Full Circle Magazine #28

Ubuntuに関する記事を集めた月刊のWebマガジンであるFull Circle Magazineの28号がリリースされました。主な内容は次の通りです。

ターミナル操作のすすめ。今回はpingの使い方です。
HowTo: Pythonを使ったプログラミング、第二回。今回はPythonでの文字列と列挙型の取り扱いと、基本的な文法を学びます。
HowTo: LAMPサーバの構築方法。Taskselを用いてUbuntuにApache・MySQL・PHPをインストールし、さらに基本的な設定をPHPMyAdmin・Webminから行います。
HowTo: SSHFSを用いた、リモートマシンのファイルシステムのマウント方法。SSHFSはその名の通り、SSHで接続したマシン上のディレクトリを、ローカルマシンのファイルシステムとしてマウントできる疑似ファイルシステムです。
HowTo: Squidを用いて、古いマシンで快適なインターネット接続を実現する方法。
レビュー: Tellico（KDE向けの、「⁠コレクション」管理ツール⁠）⁠

その他のニュース

Technical Boardの選挙が行われ、新しいBoard Memberが選出されました。
特定のIPアドレスからの接続を拒否するタイプのファイアウォール。 IPblockの使い方。
Ubunu Kernelを自分でコンパイルする。
Kernel Update時にも再起動不要でアップデータを適用できるKSpliceのUbuntuでの使い方。
9.04でGRUB2をインストールする方法。
9.04でChromiumでFlashをインストールする方法

今週のセキュリティアップデート

今週のセキュリティアップデートは次の通りです。MonoとNSSのアップデートに注意してください。それほど致命的なものではありませんが、できれば適応しておくと良いでしょう。なお、何らかの理由でubuntu-security-announceのアーカイブ書庫の更新が止まっているので注意してください。

usn-826-1：Monoのセキュリティアップデート

現在デスクトップ用途でのサポートが行われている全てのUbuntu（8.04 LTS・8.10・9.04）用のアップデータがリリースされています。CVE-2008-3422, CVE-2008-3906, CVE-2009-0217を修正します。
CVE-2009-0217は、Monoに含まれるXMLDsig（W3C XML Signature Syntax and Processing）の設計上の問題で、特定の長さであればシグネチャの検証を行わずに処理してしまうものです。これにより、本来署名によって検証されるべきXMLがそのまま処理され、結果として権限の昇格が可能になる可能性があります。
CVE-2008-3422は、Monoに含まれるASP.NETライブラリの問題で、クロスサイトスクリプティングを許す可能性がある問題です。結果としてmono上で動作するASP.NETサイト上で、パスワードなどの重要な情報を漏洩、あるいはウイルスのダウンロードなどが可能になります。
CVE-2008-3906は、Monoに含まれるSys.Webクラスの問題で、HTTPヘッダ内にCRLFを挿入することが可能です。これにより攻撃者が任意のヘッダ指定を行い、クライアントに対してWebサーバからの応答に見せかけた悪意ある情報を送り付けることが可能です。詳細はNovellのBugzillaを参照してください。
対処方法：通常の場合、アップデータを適用するだけで問題を解決できます。

usn-827-1：dnsmasqのセキュリティアップデート

現在デスクトップ用途でのサポートが行われている全てのUbuntu（8.04 LTS・8.10・9.04）用のアップデータがリリースされています。CVE-2009-2957, CVE-2009-2958を修正します。
CVE-2009-2957 は、dnsmasqがTFTPリクエスト内に含まれるファイル名を正しく処理せず、文字列バッファでヒープバッファオーバーフローを発生させる問題です。これにより攻撃者がdnsmasqのユーザー権限（Ubuntuでは通常の場合「dnsmasq」ユーザー）で任意のコードを実行したり、サーバーへのDoSが可能です。
CVE-2009-2958もdnsmasqのTFTPリクエストへの応答の問題で、NULLポインタ参照が発生する問題です。DoSが可能です。
対処方法：通常の場合、アップデータを適用するだけで問題を解決できます。

usn-810-3：NSSのセキュリティアップデート

現在デスクトップ用途でのサポートが行われている全てのUbuntu（8.04 LTS・8.10・9.04）用のアップデータがリリースされています。usn-810-1の修正によって発生した、LP#409864で報告されたバグを修正します。
usn-810-1の修正時、AMD64環境用のlibnssのコンパイルオプション指定を誤り、スタックメモリーフラグをセットしない状態で動作する状態になっていました。これによりlibnssを使用するアプリケーション（Firefox・Thunderbird）に何らかの問題があった場合、攻撃が成立する可能性を引き上げてしまっていました。
対処方法：アップデータを適用した上で、libnssを利用するアプリケーションを再起動してください。